Facebook archivia le password in chiaro per errore, risolve il problema ma consiglia di cambiarle
A titolo precauzionale Facebook invita gli utenti a cambiare le proprie password. Durante un controllo di routine i tecnici si sono accorti che le password venivano archiviate in chiaro, senza crittografia. Per fortuna non risultano furti di dati.
Facebook potrebbe chiedere a centinaia di milioni di utenti di cambiare password. Non perché quelle in uso siano poco sicure, ma perché da un controllo di routine condotto sui sistemi interni di archiviazione dati, è emerso che un numero sconosciuto di password è stato archiviato in formato leggibile, senza crittografia.
La crittografia è un meccanismo di difesa che, in caso di violazione o furto di dati, impedisce agli hacker di leggere con facilità le password. Il fatto che Facebook sia una delle maggiori aziende hi-tech, non la mette al riparo da eventi del genere. Per questo è di fondamentale importanza che le password degli utenti non siano archiviate in chiaro, come invece è avvenuto.
Stando alla nota ufficiale, l’accaduto è da addebitarsi a un problema tecnico (un bug) che è già stato risolto. I sistemi di accesso avrebbero dovuto “mascherare” le password prima dell’archiviazione sui server, ma così non è stato. Pedro Canahuati, Vice Presidente della divisione Engineering, Sicurezza e Privacy di Facebook, spiega che “durante il nostro controllo, stavamo guardando come archiviamo altre categorie di informazione – come l’accesso con token – e abbiamo risolto il problema appena l’abbiamo scoperto”.
“In linea con le best practice di sicurezza, Facebook maschera le password delle persone quando creano un account, in modo che nessuno in azienda possa vederle. In termini di sicurezza, effettua salt (aggiunge alcuni caratteri casuali) e hash (converte la password risultante in un lungo elenco di caratteri casuali) sulle password, e applica una funzione chiamata ‘scrypt’ (per potenziare ulteriormente la password) e una chiave crittografica che ci consente di sostituire in modo irreversibile la password effettiva con un set casuale di caratteri”, spiega l’azienda. “Con questa tecnica, possiamo verificare che una persona stia effettuando l’accesso con la password corretta, senza dover effettivamente memorizzare la password in testo normale”.
Nonostante qualcosa sia andato storto, al momento non sono state trovate prove di violazioni, quindi nessuna password sembrerebbe stata “esposta” esternamente. Ad essere potenzialmente interessati sono centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti Facebook e decine di migliaia di iscritti a Instagram. A titolo precauzionale tuttavia Facebook consiglia di cambiare la password nelle impostazioni sia su Facebook, sia Instagram. Ovviamente in questa procedura bisogna assicurarsi di scegliere password complesse. Nel mentre, se lo si era già fatto, è consigliabile anche abilitare l’autenticazione a due fattori.
